https://www.pcisecuritystandards.org/pci_security/maintaining_payment_security 安全なネットワークの構築と維持
1. カード所有者のデータを保護するために、ファイアウォール構成をインストールして維持します。
2. システム パスワードおよびその他のセキュリティ パラメータには、ベンダー提供のデフォルトを使用しないでください。
カード所有者のデータを保護する
3. 保存されているカード会員データを保護します。
4. オープンなパブリック ネットワーク上でのカード所有者データの送信を暗号化します。
脆弱性管理プログラムを維持する
5. ウイルス対策ソフトウェアまたはプログラムを使用し、定期的に更新します。
6. 安全なシステムとアプリケーションを開発および維持します。
強力なアクセス制御対策を実装する
7. カード会員データへのアクセスを、業務上必要な範囲に制限します。
8. コンピュータにアクセスできる各ユーザーに一意の ID を割り当てます。
9. カード会員データへの物理的アクセスを制限します。
ネットワークを定期的に監視およびテストする
10. ネットワーク リソースとカード所有者のデータへのすべてのアクセスを追跡および監視します。
11. セキュリティ システムとプロセスを定期的にテストします。
情報セキュリティポリシーの維持
12. 従業員および請負業者の情報セキュリティに対処するポリシーを維持します。

ミラー サイトは、その場所またはファイルを 1 か所から利用できるようにするために、別のコンピューター サーバーにコピーされたコンピューター サーバー上の Web サイトまたはファイルのセットである場合があります。ミラー サイトには独自の URL がありますが、それ以外はプリンシパル サイトと同様です。負荷分散デバイスを使用すると、大容量サイトを簡単に拡張でき、複数のミラー サイト間で作業を分割できます。ミラー サイトは通常、最初のサイトのコンテンツを確実に反映するために頻繁に更新されます。場合によっては、最初のサイトが、より高速な接続を備え、おそらくは大規模な視聴者に近い、より大きな場所にミラー サイトを手配することがあります。最初のサイトで過剰な量のトラフィックが生成された場合、ミラー サイトを使用すると、Web サイトまたはファイルの可用性が向上します。広く使用されているソフトウェアのコピーやアップデートを提供する Web サイトの場合、ミラー サイトを使用すると、より大きな需要に対応できるようになり、ダウンロードされたファイルをより早く到着できるようになります。Microsoft や Sun Microsystems などの企業にはミラー サイトがあり、そこからブラウザ ソフトウェアがダウンロードされることがよくあります。最初のサイトがアクセスするサイトから地理的に離れている場合、ミラー サイトによりサイト アクセスが高速化されるのはよくあることです。ミラー化された Web サーバーは通常、プリンシパル サイトから特別な大陸に配置され、ミラー サイトの手前にいるユーザーがより高速で信頼性の高いアクセスを促すことができます。インターネット サイトのミラーリングは、アクセスが信頼できない場所や検閲されている場所でも情報が利用できるようにするために行うこともできます。2013年、中国当局がウォール・ストリート・ジャーナルやロイターなどの外国メディアへのアクセスをブロックしたとき、アクセスを回復し、政府の検閲を回避するためにサイトミラーリングが常用されていた。

この質問は、IDOR 脆弱性の典型的な例を示しています。ロブは「name」パラメータでネッドの名前を置き換えます。開発者がこの脆弱性を修正していない場合、ロブはネッドのアカウントにアクセスできるようになります。以下に、IDOR 脆弱性に関する詳細情報を示します。
安全でない直接オブジェクト参照 (IDOR) は、Web アプリケーション開発者が内部実装オブジェクトへの直接アクセスに識別子を使用しているにもかかわらず、追加のアクセス制御や承認チェックが提供されていない場合に発生するサイバーセキュリティの問題です。たとえば、クライアント側のユーザー入力を通じてトランザクションの URL が変更され、別のトランザクションの未承認のデータが表示される可能性がある場合、IDOR 脆弱性が発生します。
ほとんどの Web アプリケーションは、単純な ID を使用してオブジェクトを参照します。たとえば、データベース内のユーザーは通常、ユーザー ID によって参照されます。同じユーザー ID は、ユーザー情報を含むデータベース列の主キーであり、自動的に生成されます。データベース キーの生成アルゴリズムは非常に単純です。通常、次に利用可能な整数が使用されます。他のすべての種類のデータベース レコードには、同じデータベース ID 生成メカニズムが使用されます。
上記のアプローチは正当ですが、攻撃者がすべてのユーザーを列挙できる可能性があるため、推奨されません。このアプローチを維持する必要がある場合、開発者は少なくとも、リソースにアクセスするために単なる参照以上のものが必要であることを確実に確認する必要があります。たとえば、Web アプリケーションが次の URL を使用してトランザクションの詳細を表示するとします。
https://www.example.com/transaction.php?id=74656
悪意のあるハッカーは、id パラメータ値 74656 を他の同様の値に置き換えようとする可能性があります。次に例を示します。
https://www.example.com/transaction.php?id=74657
74657 トランザクションは、別のユーザーに属する有効なトランザクションである可能性があります。悪意のあるハッカーには、それを閲覧する権限を与えるべきではありません。ただし、開発者がエラーを犯した場合、攻撃者はこのトランザクションを閲覧することになり、安全でない直接オブジェクト参照の脆弱性が発生することになります。